Sigstore: проект по улучшению цепочки поставок с открытым исходным кодом
Сегодня мы поговорим о "Сигстор". Один из многих, из бесплатные и открытые проекты под опекой Linux Foundation.
"Сигстор" По сути, это проект, созданный для предоставления общественных благ, некоммерческих организаций, улучшить цепочку поставок de программное обеспечение с открытым исходным кодом содействие внедрению программной криптографической подписи, поддерживаемой технологиями регистрации прозрачности.
"Сигстор", Это не единственный Проект Linux Foundation о чем мы уже говорили ранее. Другой из них был Linux автомобильного класса, который мы описываем в то время следующим образом:
Automotive Grade (качество) Linux - это совместный проект с открытым исходным кодом, который объединяет автопроизводителей, поставщиков и технологические компании для ускорения разработки и внедрения полностью открытого программного стека для автомобилей будущего. Используя Linux в своей основе, AGL разрабатывает открытую платформу с нуля, которая может служить фактическим отраслевым стандартом, обеспечивающим быструю разработку новых функций и технологий. Linux Foundation: присутствие на выставке Consumer Electronics Show 2020
Позже в будущих публикациях мы обратимся к другим проектам, но для тех, кто хочет изучить некоторые из них самостоятельно, они могут сделать это по следующей ссылке: Проекты Linux Foundation.
Sigstore: проект Linux Foundation
Что такое Sigstore?
По его словам Официальный сайт Sigstore, то же самое:
Проект, созданный с целью предоставления некоммерческих услуг общественного блага для улучшения цепочки поставок программного обеспечения с открытым исходным кодом путем содействия внедрению криптографической подписи программного обеспечения, поддерживаемой технологиями регистрации прозрачности. Кроме того, он пытается обучить разработчиков программного обеспечения безопасной подписи программных артефактов, таких как файлы релизов, образы контейнеров, двоичные файлы, манифесты ведомости материалов и многое другое.
Кроме того, этот проект направлен на то, чтобы:
Подписанные материалы хранятся в открытом доступе, защищенном от несанкционированного доступа.
Почему важен Sigstore?
Этот проект, его инструменты и участники стремятся избежать «атаки на цепочку поставок программного обеспечения », например, что случилось с SolarWinds и другие, хорошо известные в последнее время.
Microsoft заявила, что хакеры взломали программное обеспечение SolarWinds для мониторинга и управления Orion, что позволило им выдать себя за любого существующего пользователя и учетную запись в организации, включая учетные записи с высокими привилегиями. Утверждается, что Россия использовала уровни цепочки поставок для доступа к системам государственных органов.
Быть понятым «атака на цепочку поставок программного обеспечения » к акту, которым, Хакер вставляет вредоносный код в легитимное программное обеспечение, чтобы распространить его повсюду.
Следовательно, бесплатные / открытые проекты, которые бесплатны и просты в реализации, такие как "Сигстор" они становятся все более необходимыми в наши дни.
Как предотвратить атаки на цепочку поставок программного обеспечения?
Хотя в других случаях мы предлагали несколько полезных советов по информационной безопасности, пригодных для всех и в любое время и в любой ситуации, следующие советы непосредственно направлены на максимальное смягчение этого типа атак:
- Ведите инвентаризацию всех используемых собственных и сторонних программных инструментов, как бесплатных, так и открытых, проприетарных и закрытых.
- Будьте внимательны к известным и будущим уязвимостям всех используемых приложений и систем, чтобы как можно скорее применить официально доступные исправления.
- Будьте в курсе об обнаруженных нарушениях или проведенных атаках на собственных и сторонних поставщиков программного обеспечения, чтобы избежать неожиданных сюрпризов.
- Устраните в кратчайшие сроки те системы, службы и протоколы, которые могут быть избыточными (ненужными) или устаревшими (неиспользуемыми).
- Планируйте и реализуйте совместные стратегии и требования безопасности с поставщиками программного обеспечения, чтобы минимизировать ИТ-риски, связанные с ними и вашими собственными процессами безопасности.
- Регулярно проводите аудит кода. И обновляйте проверки безопасности и процедуры контроля изменений, необходимые для каждого компонента созданного или используемого кода.
- Выполняйте обычные тесты на проникновение, чтобы определить потенциальные опасности на вашей вычислительной платформе.
- Внедрите меры безопасности ИТ, такие как контроль доступа и двухфакторная аутентификация (2FA), для защиты процессов разработки программного обеспечения.
- Запускайте программное обеспечение безопасности с несколькими уровнями защиты. Особенно от вторжений, вирусов и программ-вымогателей, столь распространенных в наши дни.
- Регулярно обновляйте резервный план или план действий в чрезвычайных ситуациях, чтобы безопасно поддерживать жизненно важные данные ваших приложений, систем и действий (процессов) и иметь возможность восстанавливать любые из них в кратчайшие сроки.
Больше на Сигстор
Наконец, разработчики "Сигстор" они немного объясняют работу этого проекта следующим образом:
Сигстор использует существующие технологии x509 PKI и реестры прозрачности. Пользователи генерируют недолговечные пары эфемерных ключей с помощью клиентских инструментов хранилища сигнатур. Затем служба PKI sigstore предоставит сертификат подписи, сгенерированный после успешного предоставления подключения OpenID. Все сертификаты регистрируются в реестре прозрачности сертификатов, а материалы для подписи программного обеспечения отправляются в реестр прозрачности подписей.
Использование записей прозрачности вводит корень доверия в учетную запись OpenID пользователя. Таким образом, у нас могут быть гарантии, что заявленный пользователь контролировал учетную запись поставщика услуг идентификации во время подписания. После завершения операции подписи ключи могут быть отброшены, что устраняет необходимость в дополнительном управлении ключами или необходимости отзыва или ротации.
Для получения более подробной информации о "Сигстор" вы можете посетить свой официальный сайт на GitHub y su Сообщество (группа) публичное на Google.
Резюме
Мы надеемся на это полезный небольшой пост на «Sigstore», интересный и полезный проект Linux Foundation, который является сервис прозрачности и подпись программного обеспечения общественное благо и некоммерческая организация, созданная для улучшить цепочку поставок программное обеспечение с открытым исходным кодом; представляет большой интерес и полезность для всего «Comunidad de Software Libre y Código Abierto» и большой вклад в распространение замечательной, гигантской и растущей экосистемы приложений «GNU/Linux».
А пока, если вам это понравилось publicación, Не останавливаются поделись с другими, на ваших любимых веб-сайтах, каналах, группах или сообществах социальных сетей или систем обмена сообщениями, предпочтительно бесплатно, открыто и / или более безопасно, поскольку Telegram, сигнал, Мастодонт или другой из Fediverse, желательно.
И не забудьте посетить нашу домашнюю страницу по адресу «DesdeLinux» чтобы узнать больше новостей, а также присоединиться к нашему официальному каналу Telegram от DesdeLinux. А для получения дополнительной информации вы можете посетить любой Онлайн-библиотека в качестве OpenLibra y ДжедИТ, для доступа и чтения электронных книг (PDF) по этой или другим темам.